Nasjonal sikkerhetsmåned er nok en gang over oss, og årets tema fra NorSIS er sosial manipulering. Et tema som omfatter ulike teknikker for å lure oss som brukere til å gi fra oss informasjon som er nyttige for angripere. For når det kommer til digitale angrep, er det vi mennesker som er det svakeste leddet.
Det går knapt en dag uten at vi kan lese en sak der politiet advarer mot ulike svindelforsøk der kriminelle aktører utgir seg for å være institusjoner eller selskaper vi har tillit til. Bare i løpet av de siste ukene har det blitt rapportert om svindelforsøk via oppringninger, SMS eller e-post der kriminelle har utgitt seg for å være politiet selv, Statens vegvesen eller Vipps. I tillegg kommer de utallige forsøkene vi ikke hører om.
Alt i den hensik å få oss til å gi fra oss sensitiv informasjon, som brukernavn og passord til de mange digitale tjenester vi har en innlogging til. Både som individer, men også som en angrepsvektor til våre arbeidsgivere.
Kraftig økning i angrep
Dette reflekteres også i økningen i antall sikkerhetshendelser hos norske virksomheter. Ifølge BDO har så mye som én av tre bedrifter så langt i år har opplevd uønskede sikkerhetshendelser, og blant selskaper med mer enn 50 ansatte har halvparten vært utsatt for angrep. Dette er en markant økning sammenlignet med fjoråret. Samtidig peker rapporten på at usikre økonomiske tider bidrar til at investeringer i sikkerhet oftere enn før nedprioriteres.
Å regne hjem gevinsten av skaden som aldri skjedde, er en krevende øvelse, og for mange blir fristelsen for å utsette nødvendige (men kostbare) oppgraderinger i sikkerheten for høy. Det er avgjørende med et bevisst forhold til hvilken risiko som ligger i valgene som ikke tas. Ledelsens dårlige samvittighet i form av utdatert programvare og teknisk gjeld er en potensiell gullgruve for kriminelle.
Digital sikkerhet er et våpenkappløp med de kriminelle, og frykten for at angripere kan ligge hakk i hæl til sikkerhetsarbeidet, er dessverre ofte en ønsketekning. I mange tilfeller ligger angriperne et hestehode foran.
Fortsatt står løsepengevirus for den største andelen av trusselbildet, med en andel på 54 prosent av registrerte angrep. Men med et stadig økende politisk konfliktnivå er digitale angrep på kritisk infrastruktur sterkt økende, der energisektoren peker seg ut som primærmål for denne type angrep – tett etterfulgt av sykehus og utdanningsinstitusjoner.
Denne utviklingen vil trolig bare øke i omfang i de kommende årene. Her i Norge er vi stadig vitne til forsøk på målrettede angrep mot Stortinget, og tidligere i år ble det kjent at til sammen tolv departementer ble rammet av et alvorlig dataangrep ved at kriminelle benytter seg av en svakhet i én av mange underliggende IT-løsninger departementene benytter seg av.
Felles for samtlige angrep er at metodene blir stadig mer sofistikerte, samtidig som omfanget av digitale løsninger integreres i nær samtlige aspekter av samfunn, næringsliv og vår hverdag.
Stoppet 510 mill. forsøk på digital krim siste kvartal: – Flere etterspør sikkerhetsprodukter
Data poisoning
Der data kan sees på som en kilde til innovasjon og innsikt fra virksomhets perspektiv, vil digitale angripere se på data som en angrepsvektor. Maskinlæringsmodeller som Chat GPT benytter seg i stor grad av åpne data, og kriminelle har for lengst lært seg å fôre disse modellene med feilaktige datasett gjennom såkalt «data poisoning» for ondsinnede formål.
Det er ikke lenger like enkelt å avsløre en phishing- eller svindel-epost på grunnlag av dårlig norsk. Bruken av kunstig intelligens og avanserte språkmodeller gjør det enkelt for kriminelle å automatisk generere e-poster som er umulige å skille fra en menneskelig skrevet e-post.
Fremveksten av kvantemaskiner er i dag en spennende teknologisk nyvinning som gir oss muligheten til å utføre avanserte beregninger i hittil uante hastigheter. Samtidig spås det at det snarere er et spørsmål om når, ikke hvorvidt kvantemaskiner vil kunne knekke samtlige krypteringsalgoritmer vi baserer mye av vår digitale sikkerhet på.
Nødvendig samarbeid
Med dette bakteppet må sikkerhetsarbeidet i samtlige norske virksomheter kontinuerlig forbedres og fornyes i møte med ny teknologi. Få norske virksomheter har råd til å stå alene i denne kampen. Samarbeid og samhandling på tvers av virksomhet og bransje er avgjørende for å ha tilstrekkelig etterretning og ressurser til å møte et stadig mer komplekst digitalt trusselbilde.
Det klinger godt med 1 milliard til AI-forskning, men det har liten effekt om ikke den underliggende infrastrukturen er robust nok for det digitale trusselbildet. Dersom vi ønsker å løfte kunstig intelligens til den strategiske agendaen på både nasjonalt og virksomhetsnivå, er digital sikkerhet en forutsetning og inngangsbilletten for å utforske de mulighetene som ligger i ny teknologi
I Norge er vi vokst opp i et samfunn som er basert på tillit – der man ikke skal plage andre, man skal være grei og snill, og for øvrig kan man gjøre hva man vil. Men når teknologien gjør verden mindre, møter vi en virkelighet der denne tilliten ikke er til stede i like stor grad, og få har hørt om kardemommeloven.
På samme måte som vi tar våre forholdsregler i den fysiske verden, må det samme tankesettet også gjennomsyre utviklingen og bruken av digitale løsninger. Enhver virksomhet trenger en tydelig kjøreplan for å møte det digitale trusselbildet. Å utsette den digitale ryddejobben til neste år, kan få svært kostbare konsekvenser, og som leder er det avgjørende å ha et bevisst forhold til hvordan implementeringen av ny teknologi kan brukes til ondsinnede forhold.
Avslutningsvis er ikke digital sikkerhet noe som kun angår IT-avdelingen, det bør være et fast innslag på agendaen på alle nivåer i organisasjonen.
Telenor: – Motstandsdyktighet er ikke overflødig luksus